Сделал перевод подраздела любимой книги CISA Review Manual по интересной мне теме. Хоть сейчас не самое удачное время для проведения самооценки в банках с точки зрения легитимности СТО БР, но всё таки. Так как английский язык я пока знаю далеко не в совершенстве, возможная кривизна перевода может иметь место :)
Управление самооценкой
Управление самооценкой может быть определено как технология менеджмента, которая обеспечивает уверенность руководству, заказчикам, другим заинтересованным сторонам, что система внутреннего контроля для бизнеса работоспособна. Самооценка обеспечивает осведомленность сотрудников о рисках для бизнеса, регулярную переоценку рисков, проактивный подход контролирования их. Эта методология используется для наблюдения за ключевыми бизнес процессами, связанными с ними рисками, и системой внутреннего контроля, разработанной для формального управления этими бизнес рисками, а также совместного документирования процесса.
Практически самооценка это ряд инструментов, предназначенных для постоянной тренировки, начиная с простого анкетирования до практических занятий. Она проводится для получения информации по рассматриваемой области для предоставления менеджменту организации. Основные инструменты проекта по самооценке: технические, финансовые и операционные. Это могут быть встречи с руководством, семинары с сотрудниками, письменные задания, тесты и др. Это нужно для получения информации с разных уровней организации (некоторые организации часто опрашивают клиентов или партнеров).
Самооценка может проводиться разными методами. Для небольших бизнес подразделений она проводится в виде практических семинаров, где менеджеры совместно с сотрудником, проводящим самооценку, вовлекаются в процесс контроля организации.
Для организаций, имеющих несколько территориальных офисов данная техника не применима. В этом случае нужны смешанные технологии. Для лучшего понимания положения дел может использоваться регулярное анкетирование, с последующим анализом эффективности оцениваемых процессов. Этим может заниматься управляющий менеджмент на регулярной основе. Однако такие технологии эффективны, только если анализ и уточнение вопросов проводится на постоянной основе.
Цели самооценки
У самооценки есть несколько целей. Первичная цель самооценки это воздействие на некоторые функции внутреннего аудита, путем перевода ответственности за наблюдаемые контроли в функциональную плоскость. Это не подразумевает ответственность за аудит, а лишь расширяет её. Линейные руководители, ответственны за управление доверенным им окружением. Самооценка также должна обучать менеджмент управлению, наблюдению, концентрации внимания о высоких рисках. Эти программы не только требуют политик для своего выполнения. Взамен они предлагают разные уровни поддержки, начиная с написанных советов и предложений до углубленных семинаров. Далее семинары включаются в программу в качестве дополнительных целей, после которых доверенные сотрудники определяют уже степень самооценки и улучшают её при необходимости.
Когда выполняется самооценка, измерение показателей успешности должно проводиться на каждой стадии (планирование, разработка, наблюдение) и их оценки должны подходить для последующего использования. Один важный фактор - проведение встреч с ответственными за бизнес процессы. Дополнительно, должны отождествляться действия, направленные на повышение вероятности в достижении главных целей организации.
Главное это установить цели и их метрики для каждого процесса, который может наблюдаться при самооценке, это все сведено в CobiT.
CobiT - это структурированный свод процессов управления и система их контролей, предоставляющая инструкции развитых методов и оценок. Это позволяет разработать метод самооценки, идентифицирующий задачи и процессы, действительные для бизнес окружения и определяющие контроли, подходящие для них. Самооценка, проводимая путем анкетирования, может быть разработана для достоверных целей, которые идентифицируют ИТ-процессы. Разные компоненты CobiT, такие как Матрица входов\выходов процессов, RACI-диаграмма, Цели и Метрики могут быть преобразованы в формы анкет для проведения самооценки по каждой требуемой области.
Преимущества самооценки
Некоторые преимущества самооценки:
· Легкое обнаружение рисков;
· Более эффективная, по сравнению с внутренним контролем;
· Создание сплоченной команды, вовлеченной в процесс;
· Разработка разумных для собственников контролей персонала и процессов, и снижение их сопротивляемости к инициативам для усовершенствования контролей;
· Увеличение осведомленности персонала организации целям, рискам и внутренним контролям;
· Улучшение уровня взаимодействия между линейными руководителями и топ менеджментом;
· Повышение уровня мотивации персонала;
· Повышение уровня значимости аудита;
· Снижение стоимости контрольных процедур;
· Уверенность руководства и заказчиков;
· Некоторая уверенность топ менеджмента об адекватности системы внутреннего контроля, требованиям различных проверяющих организаций, законов, таких как US Sarbanes-Oxley Act.
Недостатки самооценки
Самооценка потенциально содержит несколько недостатков, среди которых:
· Это может быть ошибкой, так как функции аудитора замещаются;
· Это может быть оценено как дополнительная нагрузка (например, лишние отчеты для руководства);
· Отказ от действий по улучшению может повредить моральным качествам персонала;
· Недостаток мотивации может ограничить эффективность в обнаружении слабых сторон.
Роль аудитора при проведении самооценки
Когда отдел аудита проводит самооценку, роли аудиторов должны быть достаточно широкими и продуманными. Когда роли разработаны, аудиторы могут профессионально помогать службе внутреннего контроля. Результаты оценки – данные, которые являются собственностью организации, за которые менеджмент организации берет ответственность в процессе улучшения структуры управления, включающей действия по наблюдению за оцениваемой областью.
Для того, чтобы аудит был эффективным и рациональным, аудитор должен понимать оцениваемые бизнес процессы. Он может использовать такие традиционные подходы, как предварительное изучение и только потом выход на место. Также аудитор должен помнить, что он частично помогает менеджменту организации управлять персоналом, проводя самооценку. Например, в течение семинаров, аудитор проводит детализированные процедуры, ведет и обучает процессу аудита с целью получения свидетельств, согласующихся с целями аудита, используя риск ориентированный подход. Менеджеры, наблюдая за тем как проходит процесс аудита и желая его улучшить, должны предлагать заменять одни технологии на лучшие. В этом случае, аудитор лучше может объяснить риски, которые ассоциируются с подобными изменениями.
Технологии проведения самооценки
Разработка техник получения информации и принятия решений необходимая часть самооценки. Некоторые техники предписывают включать аппаратные и программные средства для поддержки самооценки и использовать электронные системы проведения собраний, а также системы, помогающие принимать решения. Группа принятия решений - важный компонент проводимых семинаров, целью которой является проверка полномочий, присутствующих на них сотрудников. В случае анкетирования определенные принципы применяются для анализа и совершенствования анкет.
Традиционный подход против самооценки
Традиционный подход основывается преимущественно на обязанности анализировать и сообщать службе внутреннего контроля о выявленных аудиторами рисках, причем, делая это нужно стремиться уменьшать область проводимой оценки, контролируемую отделом аудита или внешними консультантами. Этот подход создан и укрепляется позициями традиционных аудиторов и консультантов, но не менеджмента организации и рабочих групп, ответственных за оценку и подготовку отчетов для службы внутреннего контроля.
Самооценка же проводится по-другому: подчеркивается участие менеджмента, в том числе финансового для наблюдения за важными и критичными бизнес процессами и последующей подготовки отчета для службы внутреннего контроля.
Отличие одного подхода от другого:
Традиционный (исторически сложившийся) | Самооценка |
Определение обязанностей / возможностей персонала | Понимание полномочий / подотчетность персонала |
Следование политикам и правилам | Постоянное улучшение / обучающие курсы |
Ограничение участия персонала | Тренинги для расширения участия персонала |
Ограниченное наблюдение руководством | Наблюдение советом директоров |
Аудиторы и другие специалисты | Персонал всех уровней, выполняющий все контролируемые функции |
Подготовка отчетов | Подготовка отчетов |